[Çözüldü] Dosya Şifreleme: 7z ne kadar güvenli?

[ubuntuM]

Dw3^+S@& gibi bir şifre ile dosyalarımı 7z ile şifrelediğimde gayet güvenli olur mu? Veya bunun şifresini kırmak için ufak tefek hilesi var mı?

[heartsmagic]

Gördüğüm kadarıyla şifreleme için AES 256 kullanıyor kendisi, haliyle güvenli. Fakat, seçtiğin parola günümüz şartları için çok kısa. Çok daha uzun bir parola seç kendine, daha güvenli olur.

[ubuntuM]

Gördüğüm kadarıyla şifreleme için AES 256 kullanıyor kendisi, haliyle güvenli. Fakat, seçtiğin parola günümüz şartları için çok kısa. Çok daha uzun bir parola seç kendine, daha güvenli olur.

Çok teşekkür ederim. Parolayı aynı biçimde çok daha uzun yaptım varsayalım. Asıl sorum şu: İnternet aramalarında, Youtube'da vesayre şifre kırma adına veya şifre sıfırlama veya içeriğe ulaşma adına bilgiler, videolar var. Bunlar ne kadar gerçek? Bu kadar kolay mı yani? Basit aramalarla ve basitçe içeriğe ulaşılamıyordur değil mi ve o tür bilgilerin, videoların çoğu tabir yerinde ise fasa-fiso mu?

[heartsmagic]

Tam olarak ne şifresinden, neyin kırılmasından bahsettiğini bilmediğim için yorum yapamayız ne yazık ki. Çok fazla uygulama, çok fazla yöntem var, genel olarak bir şey söylemek zor. Kim, neyi iddia ediyor örneğin?

[ubuntuM]

Tam olarak ne şifresinden, neyin kırılmasından bahsettiğini bilmediğim için yorum yapamayız ne yazık ki. Çok fazla uygulama, çok fazla yöntem var, genel olarak bir şey söylemek zor. Kim, neyi iddia ediyor örneğin?

Şu mesela: https://www.youtube.com/watch?v=7xcG6Zj8ALk

Bu kadar basit mi bu işler?

[seron]

UbuntuM,

UZUN ve ETKİLİ bir şifre koyarsan, o videoyu yükleyen arkadaş.... yırtsa çözemez şifreni.

Facebook kırma, yok mail hesabı kırma olayı ise biraz farklı olsa da, uzun ve etkili şifre kullanma konusu bunlar için de geçerli.

Kırılamaz değil;
ZOR KIRAR!

örnek kötü şifre:
annecim seni çok seviyorum 
asdf
wertyu
zxcvb
123456
fenerbahçe
cimbom
bilimum doğum tarihi ve yakın adları...

örnek iyi şifre:
a6dhj7sk8fj82j83hf67njady6dbt6p0pb8d9s1
12BB786ş12MmNhy94763B14y

harflerin büyük-küçük olması dikkatini çekti mi?

[heartsmagic]

@ubuntuM, orada gösterilen şey basit bir kaba kuvvet saldırısı. Ha elinle denemişsin olasılıkları, ha bilgisayara yaptırmışsın. Haliyle bilgisayarlar aynı süre içinde senden daha, çok ama çok çok daha fazla deneme yapabileceği için bilgisayara yaptırmak daha makul tabi "can" gibi bir parola seçilirse haliyle deneme yoluyla o kadar kısa sürede bulunur. Hani oturup elle sen denesen, sen bile bulursun o parolayı bir süre sonra @seron'un değindiği benim de izah etmeye çalıştığım gibi, parola uzun ve güvenli bir şey seçildiği sürece kolay kolay kimse kıramaz. (İlgili şifreleme algoritmasında veya uygulamada bir açık olmadığı sürece tabi)

Parolanız uzun olsun. Çok karmaşık ama akılda kalmayacak 16 karakterlik bir parola yerine, sadece küçük harflerden oluşan ama akılda kalıcı 24 karakterlik bir parola kat be kat daha güvenlidir karmaşık olandan.

Bu konu açıldığında çok meşhur olan şu örneği vermeyi hep severim
https://xkcd.com/936/

[ahmet_matematikci]

Bu karikatür u türkçe özet geçebilen olsa makbule geçerdi ☺☺

[D@bbe]

şifre karakter sayısıda önemli ama az tutuyorlar bence 1000 karakterlik yapılırsa şifreler daha sağlam olur...

[marslı]

şifre karakter sayısıda önemli ama az tutuyorlar bence 1000 karakterlik yapılırsa şifreler daha sağlam olur...

Kardeş sen çok abartmıssın yahu. çoğu sistem en fazla 64 karaktere izin veriyor. Şifre yazacağız diye ömrümüzü tüketmenin alemi yok bence

[plazma]

En az 8 karakter, sadece büyük küçük harfte yetmez alfanümerik dışında sembolde kullanılması gerekir, 8-18 arası yeterli daha uzun açıklaması için şurada detaylı anlatım var

http://www.bu.edu/infosec/howtos/how-to-choose-a-password/

[seron]

Bu karikatür u türkçe özet geçebilen olsa makbule geçerdi ☺☺

karikatürdeki kareler soldan başlayıp aşağıya doğru okunuyor. yani yukarıdaki kareyle hemen aalttaki kareyi karşılaştırıyorsun.
özetle:
sol-üst kare/sol alt kare > hiçbir anlama gelmeyen karmaşık kodlardan oluşan kısa parola seçeceğine, sonradan ahatırlayabileceğin UZUN parola seç daha iyi diyor.
Orta üst kare: 28 bitlik şifreleme tekniği kullanırsan, bilgisayar saniyede 1000 deneme yapsa 3 haftada çözer - zorluk derecesi: KOLAY diyor. hemen altında 48bitlik şifreleme tekniği kullanırsan bilgisayar saniyede 1000 deneme yapsa, 550yılda çözer zorluk derecesi "ÇOK ZOR" diyor.
en sağ üst kare: ülen neydi bu şifre neydi neydi diye düşüneceğin karma karışık kodlar rakamlar kullanacağına hatırlaması kolay ama uzunca bir şifre koy daha iyi diyor.
sonundaki özette 20yılda çözülebilecek şifreler kullanmak mümkün; ama unutulmamalı ki bizim hatırlamakta zorluk çekeceğimiz bir şifreyi bilgisayar kolay çöze de bilir diyor.

yani özetle: öyle bir şifre koy ki:
hatırlaması kolay
UZUN
48bit şifreleme tekniği kullan(en az)
...
diyor.
yukarıda söylediğim gibi n5k45k89f73*gkakıs0u5s gibi bir şifre koyacağına:

iste500parakenanyarışzengin diye bir şifre koy, bilgisayar ve insanlar "nah* çözer" ama sen "kim 500 milyar ister kenan ışık" dan rahat hatırla diyor. bir de doğru şifreleme tekniği kullanırsan arkana yaslan ve rahatına bak diyor.

çaktın köfteyi ahmet

*nah: ne kadar anlasa da hayır, kat'iyen.

[ahmet_matematikci]

Teşekkürler seron iyi ki varsin

[ekremsenturk]

Son satırda:

"20 senedir insanlara, insanların hatırlamakta zorlandıkları, ama bilgisayarların kolay çözdükleri şifreler kullanmayı öğrettik" yazıyor.

[heartsmagic]

Ufak düzeltmeler yapalım
Karikatür bildiğimiz üst satır, alt satırdan oluşuyor.

Üst satırda söylendiği üzere ikincisinden daha kısa ama karmaşık olan, entropi değeri daha düşük (tahmini kolay) bir paroladan bahsediyor. Oradaki 28bit dediği şifreleme tekniği değil yani, parolanın entropi değeri, gücü. Onun da saniyede 1000 deneme yapabilen bir uygulamayla 3 günde bulunabileceğini ifade ediyor. Tahmini kolay ama hatırlaması zor bir parola bu.

Alt satırdaki parola ise rastgele kelimelerden seçilen bir parola, daha uzun, daha az karmaşık ama entropi değeri 44bit. Saniyede 1000 deneme ile bulunma süresi ise 550 sene. Bulunması zor, ezberlemesi kolay parola.

Karikatürde kullanılan parola da: "doğru at pil zımbası" (Türkçede daha kısa oluyor, göz önünde bulundurmamak lazım, orada çok daha uzun).
Bir atın size "Bu bir pil zımbası mı?" diye sorduğunu, sizin de "doğru (evet de olabilir belki) at pil zımbası" dediğinizi düşünün. Kafanızda canlandırdığınızda çoktan ezberlemiş oluyorsunuz bile

Bu görsel yöntem ve hafif hikâyelendirme meselesi ezberleme için çok ideal bir durum. Bu konuda çok eskilerden beridir uğraş veren Melik Duyar'ın (abartmıyorum) 20 sene önce televizyonda yaptığı bir örnekte biz izleyenlere öğrettiği İngilizce kelimeleri hâlâ hikayesi hikayesine, anlamı anlamına hatırlıyorum. Sözün özü, uzunca bir parola seçin kendinize, dört beş kelime olsun, hikâyelendirin, hatırlayın. Tamamı küçük harf olsa dahi kırılması imkânsıza yakın olur.   

[ubuntuM]

Şifrenizi buradan test edebilirsiniz, güzel bir araç. Şifrenin durumuna göre puan da veriyor.

Ek mesaj:

@heartsmagic
5-8 kelimelik epey uzun şifreleri test etmeme rağmen puan pek fazla vermedi ama 7-8 basamaklı karma karışık şifreler denedim ve 100 puan verdi. Sanırım sadece uzunca şifreler yerine harf, rakam ve sembollerle belirlenmiş 8'lik bir şifre daha sağlam oluyor. Yanılıyor olabilirim ama.

[heartsmagic]

Öncelikle, böyle yerlere kesinlikle kendi parolanızı denetmeyin. Hani ilgili yer güvenlidir değildir bilmiyorum ama vermemek en güzeli. Benzer şekilli parolaları denetirsiniz.

@ubuntuM, açıkçası ilgili siteyi pek beğenmedim Olayı sadece karmaşıklığa bakarak değerlendiriyor ki çok doğru deği. Anlatmaya çalıştığım gibi, karikatürün de anlatmaya çalıştığı gibi mesele karmaşıklıktan ziyade uzunluk. Tamam, aynı uzunluktaki iki paroladan elbette içinde karmaşık karakterler içeren daha kuvvetlidir. Fakat hiç kimse 8 karakterlik bir parolanın 22 karakterlik bir paroladan daha kuvvetli olduğunu söylemesin

Şu iki siteyi öneririm:
https://www.grc.com/haystack.htm
http://rumkin.com/tools/password/passchk.php

[ubuntuM]

Öncelikle, böyle yerlere kesinlikle kendi parolanızı denetmeyin. Hani ilgili yer güvenlidir değildir bilmiyorum ama vermemek en güzeli. Benzer şekilli parolaları denetirsiniz.

@ubuntuM, açıkçası ilgili siteyi pek beğenmedim Olayı sadece karmaşıklığa bakarak değerlendiriyor ki çok doğru deği. Anlatmaya çalıştığım gibi, karikatürün de anlatmaya çalıştığı gibi mesele karmaşıklıktan ziyade uzunluk. Tamam, aynı uzunluktaki iki paroladan elbette içinde karmaşık karakterler içeren daha kuvvetlidir. Fakat hiç kimse 8 karakterlik bir parolanın 22 karakterlik bir paroladan daha kuvvetli olduğunu söylemesin

Şu iki siteyi öneririm:
https://www.grc.com/haystack.htm
http://rumkin.com/tools/password/passchk.php

Parolaların uzunluğu(basitliği)-kısalığı(karmaşıklığı) konusunda ben de sizin gibi düşünüyorum.

O siteden o örneği verdim ki sizden gelecek yorum doğrultusunda kafamdaki şüphe tam anlamıyla giderilmiş olsun.

Verdiğiniz linkler çok daha profesyonel duruyor, özellikle ilki.

Microsoft'un da benzer bir aracı vardı, dün epey aradım ama bulamadım. Bulan olursa linki bura paylaşırsa hepimiz istifade ederiz.

Teşekkürler bilgiler için @heartsmagic

[ahmet_matematikci]

Metinleri bilgisayar terimlerini chrome ile çeviriyorum da konu resim ve karikatür olunca yardıma muhtaç oluyorum.
Teşekkürler.

[OnLive]

Kuantum bilgisayarlar geldiğinde şifrenin ne olduğunun bir önemi kalmayacak.

[cagriemer]

Kuantum bilgisayarlar geldiğinde şifrenin ne olduğunun bir önemi kalmayacak.

Bu dogru degil. Kuantum bilgisayarlar ekonomik olarak calisir hale geldiginde kriptografi tamamen cokmeyecek. Bazi kriptosistemler, ornegin RSA, cok daha kolay saldirilabilir hale gelecekler. Fakat kuantum bilgisayarlarin gerceklestirebilecekleri ataklara dayanikli kriptosistemler mevcut ve halihazirda aktif olarak arastirilmasi suren bir alandalar. Yani mesela AES icin shor algoritmasina benzer bir atak yontemi henuz bulunmus degil. Mevcut olan kuantum sonrasi kriptografik sistemlerden bazilarini hedefleyen olan grover algoritmasi gibi algoritmalar ise shor kadar hizli degil ve anahtar boyutunun arttirilmasiyla ataklara dayaniklilik suresini yeterince uzatmak mumkun. Yani kisaca, kuantum bilgisayarlar sonrasinda da AES kullanabilecegiz. Ha belki anahtar genisletme fonksiyonu farkli calisacak ama AES kullanilmaya devam edilebilecek.

[ahmet_matematikci]

Konu farklı yere kayıyor ama Java da yeni nesil kriptoloma diye Java da kitap bile yazıldı.
Yazılım üreticileri şimdiden çalışıyor

[heartsmagic]

Şu durumda esasında başlıktaki soruna cevap verilmiş gibi, fakat konu başka yerlere kayıyor  Güzel güzel bilgiler ediniyoruz ancak konu başlığı yanlış gibi. Şu durumda, @ubuntuM ya başlığı değiştirelim, parola güvenliği ile ilgili daha geniş bir şey seçelim ve açık kalsın ya da sen ben cevabımı aldım de, konuyu etiketle bizler de kapatalım.

Fakat, dediğim gibi güzel bilgiler geliyor, bakın kuantum tarafına bile kaydık

[ubuntuM]

Şu durumda esasında başlıktaki soruna cevap verilmiş gibi, fakat konu başka yerlere kayıyor Güzel güzel bilgiler ediniyoruz ancak konu başlığı yanlış gibi. Şu durumda, @ubuntuM ya başlığı değiştirelim, parola güvenliği ile ilgili daha geniş bir şey seçelim ve açık kalsın ya da sen ben cevabımı aldım de, konuyu etiketle bizler de kapatalım.

Fakat, dediğim gibi güzel bilgiler geliyor, bakın kuantum tarafına bile kaydık

Ben sorumun cevabını sizlerden çok net bir şekilde aldım.

Son yorumlarda konu biraz farklı yönlere kaydı gibi, o konu üzerinde arkadaşlar gerek görüp yeni başlık açarsa daha derli toplu olur ve ben de bizzat takipçisi olurum.

Hem benim soruma cevap verenlere hem de konu dışı yorum yapıp da bizleri bilgilendirenlere çok teşekkür ederim.

[neynefes]

Başlık etiketlendiği için kapatıyorum. Bir şey eklemek istenirse başlığı açarız.